Se utilizzi Wifi pubblico: ESCI.
Poiché la rete è intrinsecamente non affidabile, c'è un grande ovvio MINACCIA: furto di cookie di sessione. È possibile che la tua sessione sia stata dirottata e qualcuno, qualcun altro sulla rete o l'hotspot stesso, abbia rubato il cookie di sessione. Ovviamente, se fosse così, non lo sapresti, ma potresti non essere in grado di disconnetterti davvero (se si tratta di una rete dannosa o MITM, hanno il controllo dell'intera connessione - potrebbero semplicemente interrompere il tuo richiesta di logout).
Detto questo, il furto di terze parti del solo cookie di sessione È una minaccia valida (ad esempio FireSheep) e la disconnessione esplicita ne impedisce l'uso illimitato. (Fondamentalmente il danno potrebbe essere già stato fatto, ma questo impedisce che continui.)
Sarebbe ancora meglio andare a una rete affidabile, accedere e disconnettersi esplicitamente, per ogni evenienza il MITM ha bloccato la tua disconnessione. Ancora meglio è cambiare la password sul sito attendibile ... Ma è meglio non accedere mai a un sito sensibile non banale da una rete non attendibile.
Se utilizzi applicazioni che durano tutto il giorno: RIMANI CONNESSO.
Per i servizi che utilizzi tutto il giorno e desideri un accesso rapido / facile, ad es. Facebook, e-mail, ecc. - SE questo è il tuo computer privato (o di lavoro) su una rete affidabile, è un buon compromesso lasciare il tuo browser connesso a lungo termine.
MINACCIA : Spettatore malvagio
Blocca il computer ogni volta che ti allontani, anche per prendere una tazza di caffè. Oppure chiudi a chiave il tuo ufficio, se hai una porta fisica che nessun altro può varcare. (O avere un ufficio a casa, wheee!) Esci periodicamente e torna indietro. Monitora tutti i post "che" fai.
MINACCIA: altri siti possono registrarsi che hai effettuato l'accesso (ad es. per mostrarti quell'importante icona "Mi piace" di Facebook). Questo fa parte del compromesso che si applica, mentre ci sono implicazioni più ampie che sono fuori portata per questa risposta.
Se utilizzi applicazioni sensibili, ad es app bancarie - ESCI SEMPRE ESPLICITAMENTE E CHIUDI TUTTE LE FINESTRE DEL BROWSER. Questa parte è un po 'più complicata, ma molte delle dipendenze sono già state trattate sopra.
MINACCIA: spettatore dannoso Bloccare il tuo computer, come sopra, avrebbe senso, tuttavia non è necessario il compromesso di prima. Esci.
Timeout della sessione: inoltre, le app più sensibili (ad esempio bancarie) dovrebbero implementare una qualche forma di timeout di inattività automatico, quindi se esci per il pomeriggio la tua sessione morirà automaticamente a un certo punto. Questo potrebbe non aiutare con questa minaccia, dal momento che lo spettatore malizioso potrebbe semplicemente saltare sul tuo computer se esci per 4 minuti e mezzo per riempire il tuo caffè.
MINACCIA: furto di cookie di sessione
Si spera che le app sensibili lo stiano attivamente impedendo, ad es. HTTPS, IDS, rilevamento geografico / frodi e così via. Detto questo, ha comunque senso chiudere quella "finestra di opportunità", per ogni evenienza: difesa in profondità e tutto il resto.
Timeout sessione: come prima, le app più sensibili (ad esempio bancarie) dovrebbero implementare una qualche forma di timeout di inattività automatico e aiuteranno a ridurre al minimo anche questa minaccia. Tuttavia , anche se sai per certo che questa app implementa correttamente i timeout di inattività, c'è ancora una finestra di opportunità per l'attaccante. Detto questo, in un'app relativamente sicura questa non è una grande minaccia.
MINACCIA: Cross Site Request Forgery (CSRF)
Questo è quello di cui devi preoccuparti.
Supponiamo che tu abbia effettuato l'accesso alla tua banca. Nella stessa finestra, in una scheda diversa, stai navigando in un sito Web dubbio. Durante la visualizzazione di questo sito Web, potrebbe essere necessario testare di nascosto vari siti bancari ben noti, per vedere se ti è capitato di accedere a uno di essi. Se lo sei, attiverà l'attacco CSRF (non tutti i siti bancari sono vulnerabili a questo, ma molti lo sono ancora). CSRF!
Va bene. Ora dì che sei più intelligente di quell'altro ragazzo e non navigare in siti sospetti nello stesso momento in cui il tuo sito bancario è aperto. Quindi, dopo aver finito con la tua banca, chiudi attentamente la scheda. Solo allora apri una nuova scheda per navigare fino al sito pericoloso. Bene, il problema è che sei ancora connesso e lo sarà per un po '(in genere circa 30 minuti, ma potrebbe essere un minimo di 10 o fino a un'ora ...). CSRF! .
(Notare che il timeout della sessione qui aiuta, abbreviando la finestra di opportunità, ma c'è ancora una possibilità che ciò accada all'interno della finestra).
Hmm. Bene, lo so, apriamo una nuova finestra del browser! Usalo per il lavoro in banca, quindi CHIUDI nuovamente la scheda e aprine di nuovo una nuova per i siti di malware con cui mi piace giocare. Spiacenti, consulta la sezione precedente sull'autenticazione di base: la scelta del browser è importante.
A meno che non utilizzi la "navigazione in incognito / privata" o il flag " -NoFrameMerging
" per IE, sei ancora nella stessa famiglia di processi e questa sessione ancora aperta verrà condivisa tra tutte le tue finestre, almeno fino a quando il server non raggiunge il timeout di inattività. Supponendo che non sia già stato cooptato. CSRF!
Ok, ancora uno, solo uno. Ho letto questo post troppo lungo da qualche parte, su come ho sempre bisogno di disconnettermi dalle mie app sensibili, quindi faccio proprio questo, prima di entrare nei miei siti criminali. Sfortunatamente, l'applicazione "si è" dimenticata "di eseguire un logout corretto, mi reindirizza semplicemente fuori dall'applicazione (o cancella il mio cookie, o ...) invece di invalidarlo sul server ... CSRF'd!